安全警报
| 严重性: | 危急 |
| 项目类别: | 配置 |
| 受影响的项目: | 配置,edx 平台 |
| 记者: | EDX |
| 永久网址: | https://openedx.org/CVE-2015-2186 |
6 年 2015 月 XNUMX 日,我们发现并解决了 Ansible 中的一个错误 应用程式 可能允许不同网站冒充 edX 帐户的角色(尽管我们不知道发生了任何此类活动)。 该错误于 25 年 2015 月 XNUMX 日引入。 如果您使用 Ansible 来维护 edx-platform 的部署并且自 25 年 2015 月 XNUMX 日以来一直在运行 Ansible,我们强烈建议您更新到最新版本的配置并重新运行您的 playbook 以应用修复程序。 请注意,此漏洞在 edX 的 Aspen 或 Birch 命名版本中均不存在。
常见漏洞和暴露 (CVE) 项目已指定名称 CVE-2015-2186 到这个问题。 这是关于 CVE 列表 (http://CVE.mitre.org),它标准化了安全问题的名称。
更多信息
该错误导致 CORS_ORIGIN_ALLOW_ALL 设置为一个字符串,其值为“False”而不是布尔值 False。 该标志评估为布尔值 True,导致该站点接受来自任何网站的跨站点请求。 我们更改了默认值并更新了所有环境。
该错误是在 拉取请求 1869.
该错误已修复 拉取请求 1885.
